[BlackHat2012] นักวิจัยด้านความปลอดภัยสาธิตการใช้ NFC โจมตี Android และ MeeGo

[BlackHat2012] นักวิจัยด้านความปลอดภัยสาธิตการใช้ NFC โจมตี Android และ MeeGo

ในงาน Black Hat 2012 Charlie Miller ผู้ที่เคยฝากผลงานมากมายไว้ในการแข่งขัน Pwn2Own ได้ออกมาสาธิตการใช้งานเทคโนโลยี NFC ซึ่งช่วยให้ผู้โจมตีสามารถส่งไฟล์หรือช่องโหว่ที่เป็นอันตรายไปยังอุปกรณ์ของเหยื่อได้ง่ายขึ้น การทดลองนั้นได้มีการสาธิตวิธีการส่งหน้าเว็บเพจที่มีช่องโหว่ของเบราว์เซอร์ควบคู่ไปในการโจมตี ซึ่งส่งผลให้ผู้โจมตีสามารถเข้าถึงคุกกี้รวมไปถึงสามารถส่งคำสั่งต่างๆ เพื่อควบคุมเครื่องเป้าหมายได้ โดยในส่วนของ MeeGo ใช้ช่องโหว่ของเอกสารในการโจมตีแทน อย่างที่เราทราบกันดีว่าเทคโนโลยี NFC นั้นถูกกำหนดระยะห่างระหว่างอุปกรณ์ประมาณ 4 เซนติเมตร ทำให้การโจมตีจะเกิดขึ้นได้ก็ต่อเมื่อผู้โจมตีอยู่ใกล้กับเหยื่อ แต่ก็ไม่นับกรณีของ NFC ที่ถูกใช้บนอุปกรณ์อื่นเช่นเครื่องขายตั๋วหนัง หรือเครื่องชำระเงินอัตโนมัติซึ่งมีโอกาสถูกโจมตีโดยวิธีนี้ได้สูงกว่า ในขณะนี้ช่องโหว่ทั้งหมดได้ถูกส่งไปยัง Google และ Nokia แล้ว ซึ่งคาดว่าจะมีการออกแพตซ์รวมไปถึงมาตราการป้องกันเร็วๆ นี้ (รวมไปถึงการอุดช่องโหว่ปลีกย่อยด้วย ) ที่มา – CNET, V3 , eSecurity Planet ข่าวจาก Blognone โดย pe3z

Trustwave เผยบั๊กบน Play Store ทำให้อัพเดตแอพพร้อมโค้ดอันตรายได้

Trustwave เผยบั๊กบน Play Store ทำให้อัพเดตแอพพร้อมโค้ดอันตรายได้

Trustwave บริษัทให้บริการด้านความปลอดภัยสำหรับธุรกิจออกมาเผยว่าพบข้อผิดพลาดของระบบความปลอดภัยบน Play Store ที่ทำให้สามารถอัพเดตแอพที่เคยผ่านการตรวจของ Google Bouncer พร้อมกับโค้ดที่เป็นอันตรายได้

แอปเปิลปิดรูรั่ว App Store แต่แฮ็กเกอร์รัสเซียก็เจาะได้อีก

แอปเปิลปิดรูรั่ว App Store แต่แฮ็กเกอร์รัสเซียก็เจาะได้อีก

ต่อจากกรณี App Store รั่ว แฮกเกอร์รัสเซียพบช่องโหว่กดซื้อแอพโดยไม่จ่ายเงิน ทางแอปเปิลก็ออกมาประกาศปิดรูรั่วนี้ด้วยวิธีการชั่วคราวแล้ว และให้ข้อมูลว่าใน iOS 6 จะแก้ปัญหานี้อย่างถาวร

App Store รั่ว แฮกเกอร์รัสเซียพบช่องโหว่กดซื้อแอพโดยไม่จ่ายเงิน

App Store รั่ว แฮกเกอร์รัสเซียพบช่องโหว่กดซื้อแอพโดยไม่จ่ายเงิน

แฮกเกอร์ชาวรัสเซีย Alexey Borodin (ZonD80) ได้เผยแพร่วิธีการของเขาซึ่งอ้างว่าเป็นเทคนิคที่จะช่วยให้ผู้ใช้งานสามารถกดซื้อแอพที่ต้องซื้อได้โดยไม่เสียเงิน และสามารถทำได้โดยไม่ต้องเจลเบรคอุปกรณ์ใดๆ เพียงแค่เปลี่ยนการตั้งค่าเล็กน้อยเท่านั้น โดยแอพดังกล่าวนั้นเป็น in-app คือเป็นของที่อยู่ในแอพอีกที (เช่นการซื้อของจากเกม)

ด่วน!!! “ยาฮูเมล์”ถูกแฮค 450,000 ราย

สำหรับคุณผู้อ่านเว็บไซต์ arip ที่ใช้อีเมล์ของยาฮู (Yahoo mail) ทุกท่าน ควรเปลียนรหัสผ่าน เพื่อความปลอดภัยเป็นการด่วน เนื่องจากมีรายงานข่าวว่า บัญชีผู้ใช้อีเมล์พร้อมพาสเวิร์ดประมาณ 450,000 รายถูกแฮคออกไป เนื่องจากช่องโหว่ในการทำงานของระบบ โดยทางยาฮู (Yahoo) ได้ออกมายืนยันเมื่อวานนี้ พร้อมทั้งแจงเพิ่มเติมว่า มีพาสเวิร์ดของบัญชีผู้ใช้เป็นส่วนน้อยที่ถูกแฮคไปที่สามารถใช้ล็อกอินได้จริง – -” ทั้งนี้ทางยาฮูเมล์กล่าวถึงสาเหตุว่า  เริ่มต้นจากความพยายามในการแฮค “ไฟล์เก่าๆ” จาก Yahoo Contributor Network (แพลตฟอร์มแชร์คอนเท็นต์) โดยอีเมล์ และพาสเวิร์ดที่ถูกขโมยออกไปได้นั้น ส่วนใหญ่จะเป็นบริการอีเมล์ของยาฮูเองตามด้วยอีเมล์ของบริษัทอื่นๆ ซึ่งทางยาฮูเปิดเผยว่า ทางบริษัทกำลังแก้ไขช่องโหว่ และได้ทำการเปลี่ยนพาสเวิร์ดของผู้ใช้ที่โดนขโมยพาสเวิร์ดไป พร้อมทั้งจะได้แจ้งเตือนบริษัทต่างๆ ที่อีเมล์ และพาสเวิร์ดถูกขโมยออกไปด้วย “เราต้องขอโทษผู้ใช้ทั้งหมดที่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้” ถ้อยแถลงจากยาฮู แหล่งข่าวยังเปิดเผยอีกด้วยว่า กลุ่มแฮคเกอร์ที่เจาะระบบ และขโมยพาสเวิร์ดของยาฮูเมล์ออกไปได้นั้นใช้ชื่อเรียกตัวเองว่า D33D Company ซึ่งใช้เทคนิคการขโมยพาสเวิร์ดที่ไม่ได้เข้ารหัสด้วยช่องโหว่ SQL injection โดยวิธีนี้จะเป็นการใช้คำสั่งที่สามารถดึงข้อมูลออกจากเว็บซต์ทีมีช่องโหว่นี้อยู่ได้ ผู้เชี่ยวชาญระบบรักษาความปลอดภัยกล่าวว่า ยาฮูควรมีมาตรการในการป้องกันพาสเวิร์ดที่จัดเก็บไว้ในระบบให้แน่นหนากว่านี้ โดยเฉพาะการเก็บพาสเวิร์ดที่ควรจะมีการเข้ารหัส อย่างไรก็ตาม ยาฮูกล่าวว่า แค่ 5% ของบัญขีผู้ใช้ และพาสเวิร์ดที่ถูกแฮคออกไปเท่านั้นที่สามารถใช้ล็อกอินได้ อย่างไรก็ดี เพื่อความปลอดภัย ผู้ใช้ยาฮูเมล์ควรเปลี่ยนพาสเวิร์ดในการใช้งาน ข่าวไอที ทิป-เทคนิค คอมพิวเตอร์

มาตรฐาน HSTS เข้าสู่ช่วงการให้ความเห็นสุดท้าย เตรียมโหวต

มาตรฐาน HTTP Strict Transport Security (HSTS) เป็นส่วนเสริมของ HTTP/HTTPS ที่เปิดให้เว็บ “บังคับ” ให้เบราว์เซอร์เชื่อมต่อกับเว็บแบบเข้ารหัสเสมอ แม้ผู้ใช้จะไม่ระบุว่าต้องการใช้ HTTPS ก็ตามที กระบวนการนี้ทำให้ไม่มีการเชื่อมต่อแบบ HTTP ที่ดักจับได้เลย ช่วยลดความเสี่ยงของผู้ใช้ลง

ระวัง!!! “มัลแวร์”แอ๊บเกมส์ในกูเกิ้ลเพลย์

รายงานข่าวนี้อาจสร้างความตกใจให้กับผู้ใช้สมาร์ทโฟน หรือแท็บเล็ต Android เมื่อมีรายงานว่า พบมัลแวร์ปลอมตัวเป็นเกมส์ยอดฮิตใน Google Play ซึ่งแม้ก่อนหน้านี้จะมีข่าวว่า ทางกูเกิ้ลเพลย์พยายามจะลบมัลแวร์ออกไปจากทางร้านแล้วก็ตาม แต่ก็ไม่วายที่จะพบมัลแวร์ที่แฝงตัวเข้าไปจนได้

ไมโครซอฟท์ออก 9 แพตซ์ด้านความปลอดภัยครอบคลุม 16 ช่องโหว่

ไมโครซอฟท์ออก 9 แพตซ์ด้านความปลอดภัยครอบคลุม 16 ช่องโหว่

เป็นประจำทุกครั้งครับกับการอัพเดตด้านความปลอดภัยจากไมโครซอฟท์ซึ่งจะมาในช่วงวันอังคารของทุกๆ เดือน โดยในเดือนนี้มีทั้งหมด 16 ช่องโหว่ที่ครอบคลุมทั้ง Windows, Internet Explorer, Office, SharePoint, และ Visual Basic

แจ้งเตือนช่องโหว่บน Server Monitoring Software ของ HP

แจ้งเตือนช่องโหว่บน Server Monitoring Software ของ HP

HP แจ้งเตือนผู้ใช้เกี่ยวกับสองช่องโหว่ด้านความปลอดภัยบนผลิตภัณฑ์ HP Operations Agent ซึ่งอนุญาตให้ผู้โจมตีสามารถเข้าถึงระบบและสามารถรันคำสั่งใดๆ ก็ได้บนระบบจากระยะไกล

อุปกรณ์สแกน HTTPS ทำพลาด, ใส่ CA เดียวกันทุกเครื่อง

อุปกรณ์สแกน HTTPS ทำพลาด, ใส่ CA เดียวกันทุกเครื่อง

บริษัท Cyberoam เป็นบริษัททำเครื่องตรวจสอบการใช้งานอินเทอร์เน็ตของพนักงานในบริษัท กระบวนการคือการบังคับให้พนักงานต้องติดตั้งใบรับรองหลัก (root CA) จากเครื่องของ Cyberoam ทำให้เครื่องนี้สามารถเข้าไปตรวจสอบการใช้งานได้ เพราะถอดรหัสที่เครื่องก่อนจะเข้ารหัสใหม่แล้วส่งไปยังตัวเว็บจริง แต่รายงานปรากฎว่า Cyberoam กลับใช้ CA ใบเดียวกันในทุกเครื่องที่ขายออกไป ทำให้ลูกค้าของ Cyberoam สามารถใช้ใบรับรองนี้ไปตรวจสอบการใช้งานเว็บในบริษัทอื่นๆ ได้ด้วย